Vérification de la gouvernance de la gestion de l'information et de la technologie de l'information 2010

Télécharger ce document en PDF (267.6 Ko)

1. Sommaire

1.1 Renseignements généraux et contexte

En tant que haut fonctionnaire du Parlement et agent de changement, le Commissariat aux langues officielles a pour mandat de promouvoir la Loi sur les langues officielles et de veiller à sa mise en œuvre intégrale, de protéger les droits linguistiques des Canadiennes et des Canadiens et de promouvoir la dualité linguistique et le bilinguisme au Canada.

Le commissaire s'assure que les trois principaux objectifs de la Loi sont atteints et prend toutes les mesures nécessaires à cet égard. Plus précisément, les objectifs de la Loi sont de garantir :

  • l'égalité du français et de l'anglais au sein du Parlement, du gouvernement du Canada, de l'administration et des institutions fédérales, assujettis à la Loi;
  • le développement et l'épanouissement des communautés de langue officielle en situation minoritaire au Canada;
  • l'égalité du français et de l'anglais dans la société canadienne.

Conformément à ce qui a été consigné dans le Plan de vérification interne 2008-2009, la gestion de l'information (GI) et la technologie de l'information (TI) faisaient partie des plus importantes priorités pour bon nombre des représentants du Commissariat consultés puisque la GI et la TI sont considérées comme étant des outils clés des activités principales du Commissariat. Le Commissariat a reconnu que la GI et la TI sont liées et a mis en place une structure de gouvernance unique pour gérer les deux activités. La structure de gouvernance comprend le Comité exécutif (COMEX) du Commissariat, qui assume la responsabilité ultime des questions touchant la GI et la TI, et la Direction de la GITI, qui est responsable de la réalisation des activités de GI et de TI. La GI et la TI sont des secteurs généraux qui englobent de nombreux aspects des activités quotidiennes du Commissariat; cependant, puisqu'il s'agit de la première vérification dans les domaines de la GI et de la TI, la présente vérification porte principalement sur les activités de gouvernance de la GI et de la TI qui peuvent avoir une incidence majeure sur toutes les activités de GI et de TI en aval. Par conséquent, certaines autres activités opérationnelles de GI et de TI, comme la sécurité, le soutien et l'architecture, ne sont pas visées par la portée de la présente vérification.

Le commissaire du Commissariat aux langues officielles et la dirigeante principale de la vérification et commissaire adjointe de la Direction générale des services corporatifs ont approuvé la tenue d'une vérification touchant la GI et la TI.

L'objectif de la vérification était de déterminer si le Commissariat avait mis en place un cadre de contrôle de la gestion efficace pour régir la gestion des activités de GI et de TI conformément aux buts de l'organisation et aux exigences de la loi qui s'appliquent ainsi qu'aux politiques et directives de GI et de TI du SCT et du Commissariat aux langues officielles. L'Annexe B présente des critères de vérification détaillés.

1.2 Résumé des observations

Les principales observations sur la gouvernance de la GI et de la TI sont présentées ci-après.

Forces

  • Les rôles et les responsabilités du COMEX et du Comité consultatif GITI sont clairement définis en ce qui a trait à la gouvernance de la GI et de la TI.
  • Le Cadre de gestion de projets donne une bonne définition de ce qui devrait être considéré comme un projet et de la mesure dans laquelle le Cadre devrait être appliqué à différents types de projets.
  • Le Cadre de gestion de projets actuel fournit une orientation précise quant aux résultats à produire pour chaque projet.
  • De nombreux risques liés à la GI et à la TI ont été ciblés et évalués dans le profil des risques de l'organisation, les plans opérationnels, le Plan stratégique de GITI et les chartes/plans de projet.
  • Les budgets généraux de GI et de TI sont suivis de près.

Constatations

  • Le Comité consultatif GITI n'a pas tenu de réunion depuis plus d'un an; par conséquent, le COMEX a dû s'occuper directement des problèmes/décisions sur la GITI transmis par la Direction de la GITI.
  • Le Plan stratégique de GITI a été communiqué de manière incomplète et n'est pas bien compris à l'intérieur du Commissariat.
  • L'actuel Cadre de gestion de projets n'a pas été approuvé officiellement et devrait offrir des rôles, des responsabilités et des exigences en matière d'approbation plus précis pour l'ensemble des intervenants.
  • Les résultats du projet n'avaient pas tous été approuvés ni produits pour le projet de mise à jour du SIRH.
  • La conformité avec les politiques de GI et de TI en vigueur n'est pas vérifiée.
  • Il n'existe pas d'approche de financement à long terme pour appuyer le Plan stratégique de GITI.

1.3 Conclusion

D'après les observations susmentionnées et la portée générale de la vérification, le Commissariat éprouve des problèmes modérés en ce qui a trait à l'efficacité de son cadre de contrôle de la gestion en vigueur pour ce qui est de régir la gestion de ses activités de GI et de TI. Bien qu'une structure de gouvernance de la GITI, un plan stratégique et un cadre de gestion de projets aient été conçus, ils n'ont pas été mis en œuvre.

Plus important encore, le Commissariat doit élaborer une approche de financement durable à plus long terme pour appuyer le Plan stratégique de GITI et doit aussi s'assurer que le Comité consultatif GITI réalise efficacement son mandat, qui consiste à fournir des conseils, des directives et une orientation ainsi qu'à formuler des recommandations au COMEX.

Les recommandations comprises dans le présent rapport visent à renforcer la gouvernance des activités de GI et de TI ainsi qu'à aider la direction à atteindre les objectifs stratégiques du Commissariat à plus long terme. L'Annexe B contient les réponses de la direction.

2. Objectif, portée et démarche de la vérification

2.1 Contexte

Le Commissariat aux langues officielles compte sur ses pratiques en technologie de l'information (TI) et en gestion de l'information (GI) pour atteindre ses objectifs et offrir ses services avec efficacité et efficience. La réussite du Commissariat est tributaire d'une structure de TI fiable et de pratiques de GI efficaces. À l'heure actuelle, la gouvernance de la GI et de la TI est du ressort du COMEX. Le COMEX a la responsabilité d'approuver les plans de GI et de TI et les investissements requis correspondants de manière à appuyer les priorités et les objectifs de l'organisation. Les questions importantes touchant la GI et la TI sont donc soumises au Comité à des fins d'examen et d'approbation. La Direction de la GITI a la responsabilité de réaliser les activités de GITI.

2.2 Objectif de la vérification

L'objectif de la vérification était de déterminer si le Commissariat avait mis en place un cadre de contrôle de la gestion efficace pour régir la gestion de ses activités de GI et de TI conformément aux buts de l'organisation et aux exigences de la loi qui s'appliquent ainsi qu'aux politiques et directives de GI et de TI du SCT et du Commissariat aux langues officielles. L'Annexe B présente des critères de vérification détaillés.

2.3 Portée de la vérification

D'après l'évaluation des risques et l'objectif de la vérification, la portée de la vérification comprend des activités de gouvernance de la GI et de la TI se rapportant aux éléments suivants :

  • planification stratégique de la GI et de la TI et la façon dont la GI et la TI s'harmonisent avec les activités opérationnelles;
  • gestion de portefeuille et de projet de GI et de TI et la façon dont les besoins et projets des utilisateurs sont ciblés, classés par priorité et comblés;
  • gestion des risques liés à la GI et à la TI;
  • politiques de GI et de TI et soutien offert par celles-ci à l'orientation organisationnelle;
  • budgets, paramètres et contrôles de la GI et de la TI.

La vérification n'englobe pas l'examen des activités liées aux domaines suivants :

  • architecture de la GI et de la TI;
  • gestion des biens de la GI et de la TI;
  • gestion des changements à l'application et à la base de données de GI et TI;
  • opérations de GI et de TI;
  • soutien en GI et en TI;
  • sécurité de la GI et de la TI, reprise après sinistre et respect de la vie privée.

2.4 Démarche de la vérification

L'approche et la méthodologie utilisées sont conformes aux normes de vérification interne qui sont décrites par l'Institut des vérificateurs internes et suivent la Politique en matière de vérification interne du gouvernement du Canada.

Le Commissariat vise le maintien d'un cadre de contrôle pour la gouvernance de la GITI qui est l'expression des principales pratiques de l'industrie. Par conséquent, on a misé sur les cadres de contrôle suivants pour élaborer les critères de vérification présentés en détail à l'Annexe B :

  • le cadre sur les objectifs de contrôle de l'information et des technologies connexes (COBIT 4.1) établi par l'Association des professionnels de la vérification et du contrôle des systèmes d'information (ISACA);
  • le cadre des contrôles de gestion de base et critères de vérification (CGB) établis par le Bureau du contrôleur général (BCG);
  • le Cadre de responsabilisation de gestion (CRG VI) qui décrit les attentes du Conseil du Trésor à l'égard des gestionnaires supérieurs de la fonction publique en matière de bonne gestion de la fonction publique;
  • d'autres critères sont également inclus afin de garantir une bonne couverture de la portée de la vérification susmentionnée.

Un programme de vérification basée sur les risques a été élaboré afin de fournir davantage de détails sur la façon dont les différents secteurs de vérification ont été traités et fait référence à des procédures de vérification précises, dont :

  • l'examen des politiques et des procédures connexes en GITI;
  • l'examen de plans stratégiques, budgets, mandats de comité et comptes rendus de réunion;
  • l'examen de l'ébauche du Cadre de gestion de projets et de documents concernant le projet de mise à jour du SIRH;
  • d'autres entrevues avec des personnes ciblées.

Des activités de vérification ont été menées à l'administration centrale du Commissariat à l'aide de commentaires obtenus de représentants régionaux. La liste des personnes interviewées se trouve à l'Annexe A.

La vérification a été menée en suivant le calendrier suivant :

  • Phase de planification : octobre 2009;
  • Phase d'examen : novembre–décembre 2009;
  • Phase de production de rapports : janvier 2010.

Les observations et les recommandations de la vérification ont été faites conformément au tableau d'évaluation ci-dessous :

ROUGE – Améliorations importantes requises

Nécessite d'importantes améliorations en ce qui a trait aux redressements financiers, ou la faiblesse des contrôles fait courir un important risque qui pourrait compromettre l'atteinte des objectifs de programme ou des objectifs opérationnels. Des mesures administratives doivent être prises sans tarder pour remédier aux lacunes relevées au chapitre du contrôle.

JAUNE – Améliorations moyennes requises

Certains contrôles sont en place et fonctionnent comme ils se doivent; Cependant, des problèmes auxquels il faut remédier, ont été relevés. Ces problèmes risquent de compromettre l'atteinte des objectifs du programme ou des objectifs opérationnels.

VERT – Sous contrôle

Well managed, or no material weaknesses noted, or only minor improvements are needed, and is effective and sustainable. No immediate action is required.

3. Conclusions et recommandations

3.1 Forces recensées

Planification stratégique de la GI et de la TI

  • Les rôles et les responsabilités du COMEX et du Comité consultatif GITI sont clairement définis en ce qui a trait à la gouvernance de la GITI.
  • Le Plan stratégique de GITI démontre sa conformité avec les objectifs opérationnels.

Gestion du portefeuille de GI et de TI

  • Le Cadre de gestion de projets actuel donne une définition claire de « projet » et une orientation précise quant aux résultats à produire pour chaque projet.
  • Des analyses de cas ont été documentées pour les principaux projets à venir. La documentation comprend les résultats à aller chercher avec la mise en œuvre de chaque projet.

Gestion des risques liés à la GI et à la TI

  • Des risques liés à la GI et à la TI ont été ciblés et évalués dans le profil de risques de l'organisation, les plans opérationnels, le Plan stratégique de GITI et les chartes/plans de projet.

Politiques de GI et de TI

  • Une nouvelle approche de formation en GI élaborée par le nouveau coordonnateur de la GI est prête pour l'étape de la mise en œuvre.

Budgets, paramètres et contrôles de la GI et de la TI

  • Les budgets généraux de GI et de TI sont suivis de près.

3.2 Conclusions de la vérification

3.2.1 Planification stratégique de la GITI – Comité consultatif GITI inefficace

Nous nous attendions à trouver un comité de gestion de niveau supérieur supervisant toutes les questions touchant la GI et la TI qui se réunit sur une base régulière et qui obtient des renseignements clés permettant d'assurer un suivi efficace des objectifs, stratégies et résultats en matière de gestion.

Nous avons appris que le mandat du COMEX indique clairement que le Comité a l'ultime responsabilité de superviser toutes les questions touchant la GI et la TI pour l'organisation. De plus, un Comité consultatif GITI comptant des représentants de l'ensemble du Commissariat a reçu la responsabilité de fournir des conseils, des directives et une orientation et de formuler des recommandations au COMEX. Malheureusement, le Comité consultatif GITI ne s'est réuni qu'à deux reprises depuis sa création, soit une fois en 2007 et une fois en 2008. Le COMEX se réunit régulièrement, mais ne discute de la GI et/ou de la TI qu'une ou deux fois par année, ce qui accroît la nécessité pour le Comité consultatif GITI de se réunir sur une base régulière.

Par conséquent, le COMEX ne profite pas présentement des conseils et des directives du Comité consultatif GITI, dont la composition est diversifiée pour améliorer le processus décisionnel de GI et de TI. Par ailleurs, cette situation vient réduire grandement la sensibilisation et le soutien des secteurs du Commissariat à l'endroit des décisions qui sont prises en matière d'affectation des ressources liées à la GITI.

ROUGE – Améliorations importantes requises
Nécessite d'importantes améliorations en ce qui a trait aux redressements financiers, ou la faiblesse des contrôles fait courir un important risque qui pourrait compromettre l'atteinte des objectifs de programme ou des objectifs opérationnels. Des mesures administratives doivent être prises sans tarder pour remédier aux lacunes relevées au chapitre du contrôle.
Recommandation (1)

Nous recommandons que le Comité consultatif GITI se réunisse sur une base régulière (p. ex. au moins sur une base trimestrielle) pour discuter des priorités/projets en GITI et pour suivre la progression du Plan stratégique de GITI, des projets et des mesures de rendement se rapportant à la GITI. Les membres du Comité consultatif GITI devraient être suffisamment au courant des besoins en GITI de leur direction générale pour pouvoir formuler des recommandations adéquates au COMEX. De plus, le mandat du Comité consultatif GITI devrait être approuvé officiellement et affiché sur l'intranet.

Bien que ce ne soit pas propre à la GI et à la TI, un modèle type devrait également être utilisé pour documenter toutes les demandes d'affectation de ressources présentées au COMEX dans le but d'améliorer la cohérence au niveau de la présentation de l'information et de s'assurer que des renseignements adéquats suffisants sont fournis pour l'examen des options et des risques connexes.

Réponse de la direction (1)

La Commissaire adjointe, Direction générale des services corporatifs accepte la recommandation. Les recommandations du plan d'action GITI proposées pour 2009-2010 ont été approuvées par le Comité consultatif GITI. Ces recommandations ont été présentées au COMEX pour approbation des fonds lesquels ont été approuvés et affectés au budget de la GITI en mai 2009. Les fonds ont servi à initier les activités de projet. Suite à cette approbation, les membres du Comité consultatif GITI se sont rencontrés régulièrement durant toute l'année. Le Comité poursuivra son mandat pour les prochaines étapes à venir pour le plan d'action 2010-2011. Les termes de référence ont été complétés par le Comité consultatif GITI. Ils seront affichés sur Intranet.

La Commissaire adjointe, Direction générale des services corporatifs s'engage à uniformiser les demandes de ressources humaines ou financières aux fins de présentation au COMEX. Dans le rapport sur les plans et priorités 2010-2011, la direction s'est engagée à actualiser ses mécanismes de gouvernance et proposera d'intégrer les comités consultatifs GITI et GRH pour former un comité directeur et ainsi maximiser les recommandations faites au COMEX. Par le biais de ce comité directeur, tous les directeurs feront partie de la structure intégrée de gouvernance du Commissariat et se rencontreront régulièrement. De plus, les membres de ce comité directeur exerceront leur leadership en appuyant le COMEX dans l'orientation stratégique à long terme et dans l'identification des priorités du Commissariat au niveau de la gestion de l'information et de la technologie, de la gestion des ressources humaines et de la gestion des finances du Commissariat.

D'ici les 12 à 18 prochains mois, la personne responsable de la planification stratégique consultera tous les comités consultatifs à cet effet et présentera des recommandations au COMEX quant à une nouvelle structure de gouvernance qui maximisera le processus de prise de décision au Commissariat.

3.2.2 Gestion des projets de GI et de TI – Irrégularité dans la supervision des projets

Nous nous attendions à trouver un cadre de gestion de programmes et de projets efficace comprenant une approche de supervision de tous les projets de GITI. On parle ici d'un cadre décrivant la méthode à adopter et à appliquer pour chaque projet entrepris (p. ex. approbation et supervision de projets), et les projets nécessaires pour atteindre les résultats opérationnels attendus, et comprenant des définitions claires et de la documentation complète assurant l'établissement de bonnes priorités et une coordination efficace de tous les projets. Le cadre devrait aussi comprendre une analyse des risques et des études de cas pour les différentes options disponibles, les procédures de clôture de projet comprenant l'évaluation des avantages matérialisés ainsi que l'approbation officielle des principaux résultats visés par le projet de la part des intervenants clés du milieu opérationnel, de la GI et de la TI.

Nous avons appris qu'une ébauche de Cadre de gestion de projets avait été élaborée et était mise en œuvre pour la première phase du Plan stratégique de GITI (Phase 1 du projet de mise à jour du SIRH). Il s'agissait du premier projet visant la mise en œuvre du Cadre, et nous avons remarqué que certains documents du projet n'étaient pas complets (p. ex. plans d'essais et de déploiement), que certains documents clés du projet n'avaient pas été approuvés (dont la charte de projet) et qu'il manquait de l'information en ce qui a trait aux documents de clôture de projet, dont une analyse des avantages matérialisés qui sont associés au projet.

Nous avons aussi noté que les rôles, les responsabilités et les approbations requises, comme le demande le Cadre de gestion de projets, ne sont pas parfaitement harmonisés et doivent être précisés davantage (p. ex. les rôles du COMEX et du commissaire adjoint responsable du projet ne sont pas inclus dans la liste d'approbation; cette liste indique le directeur client et le représentant tandis que le Cadre fait référence au client du projet, etc.). Par exemple, alors que le COMEX a approuvé l'attribution de fonds pour la Phase 1 du projet de mise à jour du SIRH, aucun rapport sur le projet n'a par la suite été soumis au COMEX.

Finalement, l'actuel Cadre de gestion de projets n'a pas été officiellement approuvé, et le Commissariat n'a pas indiqué clairement s'il mettra en œuvre le cadre pour de futurs projets ou s'il utilisera l'approche de gestion de projets des consultants externes pour gérer les projets pour le compte du Commissariat.

Par conséquent, il se peut que certains projets soient réalisés sans faire l'objet d'une surveillance appropriée, ce qui accroît le risque d'échec. L'impact de ce risque est partiellement atténué par le fait que seuls des projets mineurs sur la GITI sont présentement en cours; toutefois, cette situation évoluera rapidement si la présentation au Conseil du Trésor visant la demande de fonds de GITI supplémentaires est approuvée.

JAUNE – Améliorations moyennes requises
Certains contrôles sont en place et fonctionnent comme ils se doivent; Cependant, des problèmes auxquels il faut remédier, ont été relevés. Ces problèmes risquent de compromettre l'atteinte des objectifs du programme ou des objectifs opérationnels.
Recommandation (2)

Il faudrait clarifier les définitions des rôles, des responsabilités et des approbations requises pour la supervision de tous les projets de GITI. Cela comprend le rôle de supervision de projets du COMEX, du Comité consultatif GITI et du commissaire adjoint responsable du projet; il faut aussi s'assurer que l'on interprète de la même façon les rapports de situation requis et les approbations des principaux résultats visés à chaque phase d'un projet. L'état et la portée du Cadre de gestion de projets devraient aussi être clarifiés puis approuvés officiellement et communiqués si le Commissariat prévoit mettre en œuvre le Cadre.

Finalement, des procédures de clôture de projet devraient être mises en œuvre pour tous les projets pour déterminer si les avantages prévus se sont concrétisés.

Réponse de la direction (2)

La Commissaire adjointe, Direction générale des services corporatifs accepte la recommandation. Suite à la mise à jour du cadre de travail des politiques GITI concernant les hauts fonctionnaires du Parlement, la direction de la GITI mettra en place une directive de gestion de projet pour le Commissariat qui reflètera sa gouvernance ainsi que les rôles et responsabilités des différents intervenants au niveau du processus de prise de décision. Cette directive fera partie de la mise en œuvre progressive du plan stratégique GITI et sera en vigueur dans les 12 à 18 prochains mois. Elle fournira des gabarits afin d'uniformiser les processus de gestion de projet GITI; entre autres, elle fournira un gabarit de rapport d'état qui couvrira les éléments obligatoires de la directive et fera état de la portée, du budget et des livrables ou résultats attendus.

3.2.3 Politiques de GI et de TI – Absence de sensibilisation à la politique et de suivi de la politique

Nous nous attendions à découvrir un ensemble suffisamment exhaustif de politiques et de procédures documentées et communiquées favorisant l'élaboration et la gestion de la GI et de la TI. Cela comprend des politiques de GITI évaluées sur une base régulière du point de vue de leur pertinence et mises à jour au besoin ainsi que la conformité avec ces politiques qui est évaluée sur une base périodique.

Nous avons remarqué que les politiques de GITI actuelles (Politiques sur l'utilisation d'Internet et la sécurité ministérielle et Politiques du SCT sur la GITI) sont adéquates; cependant, en général, le personnel n'est pas au courant de ces politiques et ignore comment y accéder. Une formation limitée a été donnée sur les exigences de ces politiques.

Par ailleurs, la conformité avec les politiques de GITI n'est pas évaluée au sein du Commissariat.

Par conséquent, en règle générale, le personnel n'est pas au courant de leurs obligations en GITI, ce qui augmente le risque de voir des pratiques de GITI irrégulières et/ou incohérentes à la grandeur du Commissariat.

JAUNE – Améliorations moyennes requises
Certains contrôles sont en place et fonctionnent comme ils se doivent; Cependant, des problèmes auxquels il faut remédier, ont été relevés. Ces problèmes risquent de compromettre l'atteinte des objectifs du programme ou des objectifs opérationnels.
Recommandation (3)

Nous recommandons que les politiques soient officiellement communiquées par divers moyens (p. ex courriels, intranet, formation, etc.). Une fois que les politiques auront été diffusées adéquatement, la conformité avec les politiques de GITI pourra être évaluée sur une base régulière.

Réponse de la direction (3)

La Commissaire adjointe, Direction générale des services corporatifs accepte la recommandation. Le plan stratégique GITI repose sur le cadre de travail GITI et prévoit la mise en œuvre des nouvelles politiques et directives via les activités prévues pour les nouveaux processus d'affaires. Toutefois, cette mise en œuvre dépend des fonds affectés pour la mise en œuvre du plan stratégique GITI, ainsi qu'une gestion du changement majeure au niveau de l'organisation. Ces nouveaux processus permettront d'être conforme aux politiques en matière de GITI et la nouvelle technologie mettra en place des outils pour permettre d'évaluer, sur une base régulière, sa conformité. D'ici les 12 prochains mois, le Comité consultatif GITI approuvera un plan de communication qui présentera les différentes stratégies pour la gestion du changement lequel sera formalisé et communiqué à tout le personnel via courriels, lecteurs partagés et le site Intranet.

3.2.4 Budgets de GI et de TI – Absence de financement à long terme de la GI et de la TI

Nous nous attendions à trouver des budgets de GITI adéquatement élaborés, approuvés et suivis ainsi qu'un processus conçu et mis en œuvre pour établir, changer et approuver un budget de GITI officiel, y compris tous les coûts prévus des programmes d'investissement informatisés, des services de GI et de TI et des produits de GITI selon ce qui est demandé dans la stratégie, les programmes et les portefeuilles.

Nous avons appris qu'un processus avait été conçu pour établir, changer et approuver les budgets de GI et de TI. Les budgets sont approuvés par le COMEX et vérifiés par le directeur de la GITI, mais pas nécessairement suivant les conseils ou les commentaires du Comité consultatif GITI sur les budgets des projets de GITI.

Le Plan stratégique de GITI a permis de cibler des besoins de financement à long terme des opérations de GITI ainsi que des projets de GITI. Au cours des trois dernières années, un certain nombre de demandes ont été présentées pour trouver une source de financement à long terme; toutefois, à ce jour, ces besoins de financement ont été abordés à l'aide d'approches de financement à court terme, comme l'affectation de surplus budgétaires du Commissariat à la GITI.

Par conséquent, la mise en œuvre à long terme du Plan stratégique de GITI sera compromise si elle n'est pas appuyée par une approche de financement à plus long terme. Le financement de besoins à long terme à l'aide de fonds à court terme ne constitue pas une approche durable et entraîne habituellement des inefficiences majeures.

ROUGE – Améliorations importantes requises
Nécessite d'importantes améliorations en ce qui a trait aux redressements financiers, ou la faiblesse des contrôles fait courir un important risque qui pourrait compromettre l'atteinte des objectifs de programme ou des objectifs opérationnels. Des mesures administratives doivent être prises sans tarder pour remédier aux lacunes relevées au chapitre du contrôle.
Recommandation (4)

Nous recommandons qu'un examen du financement en cours accordé aux activités de GITI soit réalisé et mis à profit pour élaborer une approche de financement durable à plus long terme venant appuyer le Plan stratégique de GITI.

Réponse de la direction (4)

La Commissaire adjointe, Division des services corporatifs, accepte la recommandation. Le Commissariat mène une revue des services votés et présente une soumission au Secrétariat du Conseil du Trésor pour le financement de ses investissements en GITI, en parallèle. Les résultats de ses deux activités positionneront le Commissariat aux fins de la mise ne œuvre du Plan stratégique GITI.

4. Conclusion

D'après les observations contenues à la section 3 et la portée générale de la vérification, le Commissariat aux langues officielles éprouve des problèmes modérés en ce qui a trait à l'efficacité de son cadre de contrôle de la gestion en vigueur pour ce qui est de régir la gestion de ses activités de GI et de TI. Bien qu'une structure de gouvernance de la GITI, un plan stratégique et un Cadre de gestion de projets aient été conçus, ils n'ont pas été mis en œuvre.

Plus important encore, le Commissariat doit élaborer une approche de financement durable à plus long terme pour appuyer le Plan stratégique de GITI et doit aussi s'assurer que le Comité consultatif GITI réalise efficacement son mandat qui consiste à fournir des conseils, des directives et une orientation ainsi qu'à formuler des recommandations au COMEX.

Les recommandations comprises dans le présent rapport visent à renforcer la gouvernance des activités de GI et de TI ainsi qu'à aider la direction à atteindre les objectifs stratégiques du Commissariat à plus long terme. L'Annexe B contient les réponses de la direction.

En notre qualité de vérificateurs, et par le jugement professionnel qui en découle, nos méthodes de vérification s'avèrent appropriées et suffisantes, et en conformité avec la Politique sur la vérification interne du Conseil du Trésor (CT); les éléments de preuve recueillis appuient les conclusions du présent rapport. La conclusion est basée sur une comparaison des conditions qui existaient au moment de la vérification avec les critères de vérification préétablis acceptés par la direction. On a recueilli des éléments de preuve afin de fournir à la haute direction une assurance raisonnable de l'exactitude des conclusions tirées de la vérification. La vérification et le rapport qui en découle ont été réalisés à l'intention des gestionnaires du Commissariat. L'utilisation de ce rapport à d'autres fins pourrait ne pas être appropriée.

Haut de la page

5. Annexe A – Personnes interviewées

Les personnes-ressources suivantes ont été interviewées dans le cadre du processus de vérification :

  • Lise Cloutier – commissaire adjointe, Direction générale des services corporatifs
  • JoHanne Verrier – directrice, Gestion de l'information et technologie de l'information
  • Mario Séguin – directeur des Ressources humaines
  • Colette Lagacé – directrice, Finances et approvisionnements
  • Carsten Quell – directeur, Politiques et recherche
  • Marie Biron – directrice, Communications stratégiques et production
  • Nycole Lafond – directrice, Portefeuille économique et international/vérifications
  • Pierre Coulombe – directeur, Portefeuille social et culturel/mesure de rendement stratégique
  • Marie-Louise Perron – chef de Cabinet, Bureau du Commissaire
  • Pascale Giguère – directrice intérimaire et avocate générale par intérim, Direction des affaires juridiques
  • Isabelle Chiasson - gestionnaire, Production et correspondance, Communications stratégiques et production
  • Eva Ludvig – représentante du commissaire, région du Québec
  • Michelle Freynet – représentante du commissaire, région du Manitoba et de la Saskatchewan
  • Marthanne Robson – directrice adjointe, Pratique professionnelle des enquêtes
  • Mike McGuire – conseiller spécial de la commissaire adjointe, Direction générale de l'assurance de la conformité
  • Ghislaine Charlebois – commissaire adjointe, Direction générale de l'assurance de la conformité

6. Annexe B – Critères de vérification

Objectif du contrôle Critère de vérification Cadres/références
1. Planification stratégique de la GI et de la TI
1.1 Des organismes de surveillance efficaces sont établis.
  1. Un comité de gestion de la haute direction supervise toutes les questions touchant la GI et la TI.
  2. L'organisme de surveillance se réunit sur une base régulière (p. ex. au moins 4 fois par année) et reçoit des renseignements clés permettant un suivi efficace des objectifs, des stratégies et des résultats en matière de gestion.
  • COBIT : PO4 – Définir les processus, l'organisation et les relations de travail
  • COBIT : SE4 – Mettre en place la gouvernance des SI
  • CGB : G-1, G-2
  • CRG ronde VI : 12.1 – Gouvernance assurée par le Ministère en matière de gestion de l'information
1.2 Les rôles et les responsabilités sont clairement définis, et les propriétaires des programmes/processus sont tenus responsables des résultats connexes et prennent les mesures correctives nécessaires.
  1. Les rôles et les responsabilités en matière de GI et de TI sont clairement définis.
  2. Des plans d'action sont élaborés et mis en œuvre selon les besoins de manière à apporter les mesures correctives.
  • COBIT : PO4 - Définir les processus, l'organisation et les relations de travail
  • COBIT : SE4 – Mettre en place la gouvernance des TI
  • CGB : AC-1
  • CRG ronde VI : 13.1 Leadership au niveau de la TI
1.3 La planification de la GI et de la TI s'harmonise avec la planification stratégique et opérationnelle.
  1. La planification de la GI et de la TI et la planification stratégique/ opérationnelle s'harmonisent clairement (p. ex. les plans stratégiques et opérationnels font référence aux exigences en GI et en TI.)
  2. Un Plan de GITI a été documenté et communiqué. Le plan doit comprendre les définitions de projet pour tous les programmes, les options de projet, les échéances de projet et les réalisations attendues, les ressources requises, les risques et les avantages opérationnels à surveiller.
  • COBIT : PO1 – Définir un plan informatique stratégique
  • COBIT : PO3 – Déterminer l'orientation technologique
  • CGB : G-4, PR-1
  • CRG ronde VI : 3.1 Efficacité de la structure de gestion ministérielle
  • CRG ronde VI : 13.2 Planification de la TI
2. Gestion du portefeuille de GI et de TI
2.1 Les initiatives de GI et de TI et les ressources connexes sont classées par priorité et s'harmonisent avec les stratégies globales et celles de GI et de TI; elles tiennent compte adéquatement des coûts et des avantages. Des paramètres sont définis et vérifiés pour mesurer leur contribution à l'organisation.
  1. Un organe responsable des processus et des décisions a été établi et mis en place pour la fixation des priorités des initiatives de GI et de TI et des ressources connexes à l'intérieur des enveloppes budgétaires de haut niveau pour les programmes d'investissement informatisés, les services de GI et de TI et les produits informatiques selon ce qui est indiqué dans les plans stratégiques et tactiques.
  • COBIT : PO5 – Gérer les investissements informatiques
  • CGB : CFS-4
  • CRG ronde VI : 12.2 Gestion de l'information et des dossiers pour appuyer les résultats des programmes et des services, ainsi que pour satisfaire aux besoins opérationnels et aux obligations de rendre des comptes
2.2 Un cadre de gestion de programmes et de projets pour la gestion de tous les projets de TI est établi. Le cadre permet l'établissement des bonnes priorités et la coordination de tous les projets. Les procédures de clôture de projet comprennent l'évaluation des avantages matérialisés.
  1. Le programme, y compris tous les projets requis pour obtenir les résultats opérationnels attendus, a été défini et documenté. Les ressources requises, dont le financement, les gestionnaires de projet, les équipes de projet, les ressources de TI et les ressources opérationnelles sont indiquées s'il y a lieu. Le document comprend aussi une analyse des risques et des études de cas pour les différentes options disponibles.
  2. Le document est approuvé officiellement par les principaux intervenants du milieu opérationnel, de la GI et de la TI.
  3. Un cadre de gestion de projets a été conçu et mis en œuvre; il définit la portée et les limites de la gestion de projets ainsi que la méthode à adopter et à appliquer pour chaque projet entrepris (p. ex. approbation et supervision de projets)
  4. Les étapes de fermeture sont réalisées, dont les examens post-mise en œuvre qui évaluent si un projet a atteint les résultats et les retombées souhaités.
  • COBIT : PO10 – Gérer les projets
  • CRG ronde VI : de 15.1 à 15.3 – Gestion efficace des projets
3. Gestion des risques liés à la GI et à la TI
3.1 Un cadre de contrôle sur les risques liés à la GI et à la TI conforme aux objectifs de l'organisation a été établi. Des évaluations des risques liés à la GI et à la TI sont réalisées sur une base régulière, et les résultats des évaluations sont examinés et traités.
  1. Un cadre de contrôle sur les risques liés à la GI et à la TI a été conçu et mis en œuvre; il est conforme aux objectifs de gestion des risques de l'organisation.
  2. Des évaluations récurrentes des risques liés à la GI et à la TI sont effectuées pour le processus de gestion du risque d'entreprise, pour les plans stratégiques/tactiques de GITI et pour des projets de TI en particulier.
  3. Les résultats de l'évaluation des risques sont pris en compte, et une stratégie ou un plan d'action est élaboré en vue d'atténuer les risques et de mettre en place des contrôles appropriés.
  • COBIT : PO9 – Évaluer et gérer les risques
  • CGB : RP-3, RM-1, RM-2
  • CRG ronde VI : de 9.1 à 9.4 – Efficacité de la gestion ministérielle des risques
3.2 Des processus de contrôle interne de suivi sont en place; ils prévoient le suivi et la déclaration des exceptions aux contrôles.
  1. Des processus ou procédures sont conçus et mis en œuvre pour s'assurer que des activités de contrôle sont en place et que les exceptions sont rapidement rapportées, suivies et analysées.
  2. Définir, entreprendre, suivre et mettre en œuvre des mesures correctives provenant des évaluations de contrôle et des rapports.
  • COBIT : SE2 – Surveiller et évaluer le contrôle interne
  • CGB : RM-4
4. Politiques de GI et de TI
4.1 Des politiques et des procédures appropriées pour soutenir l'élaboration et la gestion de la GI et de la TI sont établies, maintenues et communiquées.
  1. Un ensemble suffisamment exhaustif de politiques et de procédures documentées et communiquées concernant les éléments suivants est en place :
    • relations avec les contractuels et les contractants externes;
    • gestion des biens;
    • gestion du changement;
    • gestion des incidents;
    • gestion des problèmes;
    • gestion de la configuration;
    • transfert du savoir;
    • politique sur l'utilisation d'Internet;
    • sécurité des TI.
  2. La conformité avec les politiques de GI et de TI est évaluée sur une base périodique.
  3. Les politiques de GI et de TI sont évaluées régulièrement du point de vue de leur pertinence et sont mises à jour.
  • COBIT : PO4 – Définir les processus, l'organisation et les relations de travail
  • COBIT : PO6 – Faire connaître les buts et les orientations du management
  • CGB : ST-5, LICM-4
5. Budgets, paramètres et contrôles de la GI et de la TI
5.1 Des budgets de GI et de TI sont élaborés, approuvés et suivis de façon appropriée.
  1. Un processus a été conçu et mis en œuvre pour établir, changer et approuver un budget de GI et de TI officiel comprenant tous les coûts de TI prévus des programmes d'investissement informatisés, les services de GI et de TI et les produits informatiques selon ce qui est indiqué dans la stratégie, les programmes et les portefeuilles.
  2. Un processus de gestion des coûts a été mis en œuvre pour comparer les coûts réels avec les budgets. Le niveau de direction approprié examine les résultats de l'analyse et approuve les mesures correctives suggérées.
  • COBIT : PO5 – Gérer les investissements informatiques
  • CGB : ST-1, ST-3, RM-7
  • CRG ronde VI : de 14.1 à 14.3 – Efficacité de la gestion des biens
5.2 Un processus de suivi du rendement en GI et en TI est en place pour évaluer la prestation de services en GI et en TI et pour vérifier la contribution de la GI et de la TI aux opérations.
  1. Un processus de production de rapports au conseil et à la direction a été établi en vue d'obtenir des rapports réguliers, précis et opportuns sur la contribution de la GI et de la TI aux opérations par la mesure de l'atteinte des buts de la GI et de la TI, l'atténuation des risques liés à la GI et à la TI et l'utilisation des ressources.
  • COBIT : SE1 – Surveiller et évaluer la performance des SI
  • CGB : RP-3
  • CRG ronde VI : 13.3 Valeur de la TI

Table des matières

Date de modification :
2020-09-18